Impatto Sistemico

Alto (68.97)

Sintesi

Disponibile un Proof of Concept (PoC) per la vulnerabilità CVE-2025-14500, con gravità “critica”, che riguarda diverse componenti presenti nella piattaforma IceWarp. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato remoto l’elusione dei meccanismi di autenticazione e l’esecuzione di codice arbitrario sui sistemi interessati.

Tipologia

• Remote Code Execution
• Authentication Bypass

Descrizione e potenziali impatti

Disponibile un Proof of Concept (PoC) per la CVE‑2025‑14500 – di tipo “ Remote Pre‑Auth Command Injection ” e con score CVSS v3.x pari a 9.8 – che riguarda diversi componenti della piattaforma IceWarp.

La vulnerabilità è dovuta alla mancata validazione dell’header X‑File‑Operation , utilizzato dal servizio per delegare operazioni al server, che consente l’iniezione, e successivamente l’esecuzione, di comandi arbitrari durante l’elaborazione di una richiesta HTTP/S, a causa dell’assenza di adeguati controlli.

In dettaglio, la vulnerabilità si manifesta all’interno della catena logica del processo web, dove la componente WebMail consente, in determinate condizioni, un’elusione dei controlli di autenticazione. Successivamente, i parametri controllati dall’attaccante vengono trasmessi tramite il meccanismo di delega dell’header e raggiungono la componente sul server responsabile dell’esecuzione dei comandi. Ciò permette, tramite una richiesta HTTP/S opportunamente predisposta, di innescare l’esecuzione di comandi arbitrari sui sistemi target.

Prodotti e/o versioni affette

IceWarp

• 14.2.0.x, versioni precedenti alla 14.2.0.9
• 14.1.0.x, versioni precedenti alla 14.1.0.19
• 14.0.0.x, versioni precedenti alla 14.0.0.18
• 13.0.3.x, versioni precedenti alla 13.0.3.13

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza disponibile nella sezione Riferimenti.